近期俄罗斯黑客活动的新闻满天飞舞,尤其是对“Grizzly Steppe”的不实报道,甚至是娱乐化,给网络安全这一严肃问题造成了严重伤害。
如果想从当前糟糕的网络安全状态恢复正常,需要详实的报道来完整揭露事件,让政府、公司、企业和个人对网络疏忽和运营不良负起责任。只要在报道重大网络安全攻击或事件时问问下面几个关键问题,则可起到很好的帮助作用。
1. 公司什么时候开始注意到事件?
公司发现事件和曝光事件之间的延迟是一个重要问题,该问题已多次浮出水面。2016雅虎数据泄露就是一大例子。谁知道什么,什么时候知道的,是很严肃的问题。
2. 事件暗中潜行了多久?
我们知道,事件在被检测出来前一般都已活跃了数月之久,有些甚至长达数年。这是不可接受的。激励公司投资网络攻击预防和检测的一个方法,就是提高他们的责任标准。
3. 控制损失和从事件中恢复过来耗时多久?调查事件根源和恢复系统期间还发生了额外的泄露或入侵吗?
这是个大问题。很多公司的高级经理会提前终止对事件根源和完整范围的调查,优先进行系统恢复。这往往会造成对必要鉴证数据的破坏。
4. 有没有客户、雇员、客人或其他什么人的个人信息被曝光了?如果没有,你怎么确定的?
大大小小的公司基于薄弱证据,就发布空洞声明称没有个人信息被泄露。这种事太常见了。有些公司的标准则是:只要没有明显证据表明数据被他人获取,就不会承认有此类数据泄露的可能性。尽管很多公司是匆忙恢复系统时破坏了这些证据,这种现象还是很盛行。记者应敦促公司企业明确断言,为什么他们确信数据没有,或已被泄露。
5. 事件是怎么发生的?用户过失或恶意活动?服务器或终端没打补丁?公司有没有恰当的访问系统(网络和身份验证)?
大多数黑客活动都起始于社会工程。DNC黑客事件、2015乌克兰断电事件和其他很多事件都是从网络钓鱼邮件、带恶意软件的故意掉落U盘、钓鱼电话或真人拜访开始的。其他是因为缺乏基本网络卫生和恰当的安全控制、审计和员工。
6. 有专职网络安全团队或托管安全服务提供商吗?
很多公司都没有恰当投资安全工具和安全人员来正确安装、调试、管理和换代IT安全系统。这是个直接反映出公司高级管理层和董事会对待网络安全态度的问题,显示出他们在没出事前对安全问题有多关心,或者多不关心。
7. 有网络安全事件响应计划吗?如果没有,为什么?如果有,最近一次测试是什么时候?在本次事件中起到作用了吗?
网络安全响应计划就像消防栓,需要经常演练、加强、检查和改进。有个全面的经检验的计划,是公司尽职的标志。
8. 信息技术支出在公司全部预算中占比多少?有多少是花在了网络安全上?
有了专职员工和响应计划,做出恰当的网络安全投资,就是公司网络安全重视程度的证明了。这个问题没有固定的正确答案,各家公司情况不同。但不知道自家网络安全支出占比的公司,就没有成熟的网络安全项目以衡量投资有效性。对上市公司而言,知道他们花了多少,意味着管理层严肃对待网络安全问题,而不是无休止的董事会争论又不产出任何实际行动。
9. 高管和董事会定期接到网络风险简报和建议吗?
这个问题直接反映网络安全监管状况,与安全文化、意识和技术,并称健康网络安全项目四大关键成功因素。
10. 网络安全意识培训是公司全员强制的吗?培训定期进行,反复进行吗?
绝大多数网络安全事件都有人为失误的因素,所以,针对网络攻击的最佳防御,就是全体员工都知情良好,全民参与。全员强制的正式网络安全意识培训项目的缺失,是一个关键但太常见的问题,显露出公司没有严肃认真地对待网络安全。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】